Bonvenon al la tria afiŝo en la Cisco ISE-serio. Ligiloj al ĉiuj artikoloj en la serio estas donitaj malsupre:
En ĉi tiu afiŝo, vi plonĝos en gastan aliron, kaj ankaŭ paŝon post paŝo por integri Cisco ISE kaj FortiGate por agordi FortiAP, alirpunkton de Fortinet (ĝenerale, ajna aparato kiu subtenas). RADIUS COA — Ŝanĝo de Rajtigo).
Alkroĉitaj estas niaj artikoloj.
ПримечаниеR: Check Point SMB-aparatoj ne subtenas RADIUS CoA.
mirinda
1. Enkonduko
Gasta aliro (portalo) permesas al vi disponigi aliron al la Interreto aŭ al internaj rimedoj por gastoj kaj uzantoj, kiujn vi ne volas enlasi en vian lokan reton. Estas 3 antaŭdifinitaj specoj de gastoportalo (Gastoportalo):
-
Hotspot Gastportalo - Aliro al la reto estas disponigita al gastoj sen ensalutdatenoj. Uzantoj estas ĝenerale postulataj akcepti la "Uzo kaj Privateca Politiko" de la firmao antaŭ aliri la reton.
-
Sponsorita-Gasto-portalo - aliro al la reto kaj ensalutdatumoj devas esti eldonitaj de la sponsoro - la uzanto respondeca por kreado de gastokontoj en Cisco ISE.
-
Mem-Registrita Gasto-portalo - en ĉi tiu kazo, gastoj uzas ekzistantajn ensalutajn detalojn, aŭ kreas konton por si kun ensalutaj detaloj, sed sponsora konfirmo estas postulata por akiri aliron al la reto.
Multoblaj portaloj povas esti deplojitaj sur Cisco ISE samtempe. Defaŭlte, en la gasta portalo, la uzanto vidos la Cisco-emblemon kaj normajn komunajn frazojn. Ĉio ĉi povas esti personecigita kaj eĉ agordita por vidi devigajn reklamojn antaŭ ol akiri aliron.
Gasta aliro aranĝo povas esti dividita en 4 ĉefaj paŝoj: FortiAP aranĝo, Cisco ISE kaj FortiAP konektebleco, gasto portalo kreado, kaj alirpolitikaranĝo.
2. Agordante FortiAP sur FortiGate
FortiGate estas alirpunkta regilo kaj ĉiuj agordoj estas faritaj sur ĝi. FortiAP-alirpunktoj subtenas PoE, do post kiam vi konektis ĝin al la reto per Ethernet, vi povas komenci la agordon.
1) Sur FortiGate, iru al la langeto WiFi & Ŝaltilo-Regilo > Administritaj FortiAP-oj > Krei Novan > Administrita AP. Uzante la unikan serian numeron de la alirpunkto, kiu estas presita sur la alirpunkto mem, aldonu ĝin kiel objekton. Aŭ ĝi povas montri sin kaj poste premi Permesi uzante la dekstran musbutonon.
2) FortiAP-agordoj povas esti defaŭltaj, ekzemple, lasu kiel en la ekrankopio. Mi tre rekomendas ŝalti la 5 GHz-reĝimon, ĉar iuj aparatoj ne subtenas 2.4 GHz.
3) Tiam en langeto WiFi & Ŝaltilo-Regilo > FortiAP-Profiloj > Krei Novan ni kreas agordan profilon por la alirpunkto (versio 802.11 protokolo, SSID-reĝimo, kanalfrekvenco kaj ilia numero).
Ekzemplo de agordoj de FortiAP
4) La sekva paŝo estas krei SSID. Iru al langeto WiFi & Ŝaltilo-Regilo > SSID-oj > Krei Novan > SSID. Ĉi tie de la grava devus esti agordita:
-
adresspaco por gasto WLAN - IP/Retmasko
-
RADIUS-Kontado kaj Sekura Ŝtofa Konekto en la kampo Administra Aliro
-
Opcio por Detekto de Aparato
-
Opcio SSID kaj Broadcast SSID
-
Agordoj de Sekureca Reĝimo > Kaptiva Portalo
-
Aŭtentikiga Portalo - Ekstera kaj enigu ligilon al la kreita gastoportalo de Cisco ISE de la paŝo 20
-
Uzantgrupo - Gastgrupo - Ekstera - aldonu RADIUS al Cisco ISE (p. 6 plu)
Ekzemplo de agordo de SSID
5) Tiam vi devus krei regulojn en la alirpolitiko sur FortiGate. Iru al langeto Politiko & Objektoj > Firewall Policy kaj kreu regulon kiel ĉi:
3. RADIUS-agordo
6) Iru al la interfaco de Cisco ISE al la langeto Politiko > Politikaj Elementoj > Vortaroj > Sistemo > Radiuso > RADIUS-Vendantoj > Aldoni. En ĉi tiu langeto, ni aldonos Fortinet RADIUS al la listo de subtenataj protokoloj, ĉar preskaŭ ĉiu vendisto havas siajn proprajn specifajn atributojn - VSA (Vendor-Specific Atributes).
Listo de Fortinet RADIUS-atributoj troveblas
7) Agordu la nomon de la vortaro, specifi ID de vendisto (12356) kaj gazetaro Sendu.
8) Post kiam ni iros al Administrado > Retaj Aparaj Profiloj > Aldoni kaj kreu novan aparatan profilon. En la kampo RADIUS-Vortaroj, elektu la antaŭe kreitan Fortinet RADIUS-vortaron kaj elektu la CoA-metodojn por uzi poste en la ISE-politiko. Mi elektis RFC 5176 kaj Port Bounce (malŝalto/senĉesiga reto-interfaco) kaj la respondajn VSAojn:
Fortinet-Access-Profile=legi-skribi
Fortinet-Group-Name = fmg_faz_admins
9) Poste, aldonu FortiGate por konektebleco kun ISE. Por fari tion, iru al la langeto Administrado > Retaj Rimedoj > Retaj Aparaj Profiloj > Aldoni. Kampoj ŝanĝendaj Nomo, Vendisto, RADIUS Vortaroj (IP-adreso estas uzata de FortiGate, ne FortiAP).
Ekzemplo de agordo de RADIUS de la ISE-flanko
10) Post tio, vi devus agordi RADIUS ĉe la flanko de FortiGate. En la interfaco de FortiGate, iru al Uzanto & Aŭtentikigo > RADIUS-Serviloj > Krei Novan. Indiku la nomon, IP-adreson kaj Kunhavitan sekreton (pasvorton) el la antaŭa alineo. Sekva klako Testu Uzantajn Akreditaĵojn kaj enigu ajnajn akreditaĵojn kiuj povas esti tiritaj supren per RADIUS (ekzemple, loka uzanto sur la Cisco ISE).
11) Aldonu RADIUS-servilon al la Gastgrupo (se ĝi ne ekzistas) kaj ankaŭ eksteran fonton de uzantoj.
12) Ne forgesu aldoni la Gastgrupon al la SSID, kiun ni kreis pli frue en la paŝo 4.
4. Agordo de Aŭtentikigo de Uzanto
13) Laŭvole, vi povas importi atestilon al la gastoportalo de ISE aŭ krei memsubskribitan atestilon en la langeto Laborcentroj > Gasta Aliro > Administrado > Atestado > Sistemaj Atestiloj.
14) Post en langeto Laborcentroj > Gasta Aliro > Identecaj Grupoj > Uzantaj Identecaj Grupoj > Aldoni kreu novan uzantgrupon por gasta aliro, aŭ uzu la defaŭltajn.
15) Plu en la langeto Administracio > Identecoj krei gastajn uzantojn kaj aldonu ilin al la grupoj de la antaŭa alineo. Se vi volas uzi triajn kontojn, tiam saltu ĉi tiun paŝon.
16) Post kiam ni iras al la agordoj Laborcentroj > Gasta Aliro > Identecoj > Identeca Fonta Sekvenco > Gasta Portala Sekvenco — ĉi tio estas la defaŭlta aŭtentikigsekvenco por gasto-uzantoj. Kaj sur la kampo Aŭtentiga Serĉa Listo elektu la uzantan aŭtentikigordon.
17) Por sciigi gastojn per unufoja pasvorto, vi povas agordi SMS-provizantojn aŭ SMTP-servilon tiucele. Iru al langeto Laborcentroj > Gasta Aliro > Administrado > SMTP-Servilo aŭ SMS Gateway Provizantoj por ĉi tiuj agordoj. En la kazo de SMTP-servilo, vi devas krei konton por la ISE kaj specifi la datumojn en ĉi tiu langeto.
18) Por SMSaj sciigoj, uzu la taŭgan langeton. ISE havas antaŭinstalitajn profilojn de popularaj SMS-provizantoj, sed estas pli bone krei viajn proprajn. Uzu ĉi tiujn profilojn kiel ekzemplon de agordo SMS Retpoŝta Enirejoy aŭ SMS HTTP API.
Ekzemplo de agordo de SMTP-servilo kaj SMS-enirejo por unufoja pasvorto
5. Agordi la gastan portalon
19) Kiel menciite komence, ekzistas 3 specoj de antaŭinstalitaj gastaj portaloj: Hotspot, Sponsorita, Mem-Registrita. Mi sugestas elekti la trian opcion, ĉar ĝi estas la plej ofta. Ĉiuokaze, la agordoj estas plejparte identaj. Do ni iru al la langeto. Laborcentroj > Gasta Aliro > Portaloj kaj Komponantoj > Gastaj Portaloj > Mem-Registrita Gasta Portalo (defaŭlte).
20) Poste, en la langeto Personigo de Portala Paĝo, elektu "Vidi en la rusa - la rusa", tiel ke la portalo estas montrata en la rusa. Vi povas ŝanĝi la tekston de iu ajn langeto, aldoni vian emblemon kaj pli. Dekstre en la angulo estas antaŭrigardo de la gasta portalo por pli bona vido.
Ekzemplo de agordo de gasta portalo kun mem-registrado
21) Klaku sur frazo Portala prova URL kaj kopiu la portalan URL al la SSID sur la FortiGate en la paŝo 4. Ekzempla URL
Por montri vian domajnon, vi devas alŝuti la atestilon al la gasta portalo, vidu paŝon 13.
22) Iru al langeto Laborcentroj > Gasta Aliro > Politikaj Elementoj > Rezultoj > Rajtigaj Profiloj > Aldoni krei rajtigan profilon sub la antaŭe kreita Reta Aparato Profilo.
23) En langeto Laborcentroj > Gasta Aliro > Politikaj Aroj redakti la alirpolitikon por uzantoj de WiFi.
24) Ni provu konekti al la gasto SSID. Ĝi tuj redirektas min al la ensaluta paĝo. Ĉi tie vi povas ensaluti kun la gasta konto kreita loke ĉe la ISE, aŭ registriĝi kiel gasta uzanto.
25) Se vi elektis la memregistran opcion, tiam unufojaj ensalutdatumoj povas esti senditaj per poŝto, per SMS, aŭ presitaj.
26) En la langeto RADIUS > Live Logs sur la Cisco ISE, vi vidos la respondajn ensalutajn protokolojn.
6. Konkludo
En ĉi tiu longa artikolo, ni sukcese agordis gastan aliron ĉe Cisco ISE, kie FortiGate funkcias kiel la alirpunktoregilo, kaj FortiAP funkcias kiel la alirpunkto. Rezultis ia ne-triviala integriĝo, kiu denove pruvas la vastan uzadon de ISE.
Por testi Cisco ISE, kontaktu
fonto: www.habr.com